Exemplo didático.
Ana propôs uma ação em face da ABC, empresa gestora de banco de dados com finalidade de proteção do crédito. Segundo narra, a empesa estaria comercializando seus dados dados pessoais, sem a sua autorização ou mesmo comunicação prévia.
Em síntese, quando uma empresa pagava para consultar o histórico de crédito de Ana, também tinha acesso a dados pessoais, tais como: CPF, nome, nome da mãe, situação do CPF, região de origem do CPF, data de nascimento, mais de um endereço residencial, três contatos telefônicos, sexo, etc.
Segundo afirma, tais dados, apesar de não serem considerados sensíveis, não poderiam ser divulgados, seja de forma gratuita ou paga. Por isso, Ana requereu indenização por danos morais.
Há dever de indenizar no caso concreto?
Sim. O gestor de banco de dados que disponibiliza para terceiros consulentes o acesso aos dados do cadastrado que somente poderiam ser compartilhados entre bancos de dados deve responder objetivamente pelos danos morais causados.
Gestor de banco de dados com a finalidade de proteção do crédito.
O gestor de banco de dados com a finalidade de proteção do crédito, pode realizar o tratamento de dados pessoais não sensíveis e abrir cadastro com informações de adimplemento de pessoas naturais e jurídicas, sem o consentimento prévio do cadastrado, em observância aos artigos 4º, I, da Lei n. 12.414/2011 e 7º, X, da Lei Geral de Proteção de Dados Pessoais – LGPD.
Lei nº 12.414/2011.
Art. 4º O gestor está autorizado, nas condições estabelecidas nesta Lei, a:
I. abrir cadastro em banco de dados com informações de adimplemento de pessoas naturais e jurídicas;
(…)
III. compartilhar as informações cadastrais e de adimplemento armazenadas com outros bancos de dados
Lei Geral de Proteção de Dados Pessoais – LGPD.
Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
(…)
X. para a proteção do crédito, inclusive quanto ao disposto na legislação pertinente.
Todavia, o gestor de banco de dados regido pela Lei n. 12.414/2011 somente pode disponibilizar a terceiros consulentes:
I. o score de crédito (pontuação de crédito), sendo desnecessário o consentimento prévio; e
II. o histórico de crédito, mediante prévia autorização específica do cadastrado (nos moldes do Anexo do Decreto n. 9.936/2019), conforme o art. 4º, IV, a e b da referida lei.
As informações cadastrais e de adimplemento armazenadas somente podem ser compartilhadas com outros bancos de dados.
Por outro lado, em observância o inciso III do art. 4º da Lei n. 12.414/2011, as informações cadastrais e de adimplemento armazenadas somente podem ser compartilhadas com outros bancos de dados, que são geridos por instituições devidamente autorizadas para tanto na forma da lei e regulamento.
Portanto, se um terceiro consulente tem interesse em obter as informações cadastrais do cadastrado, ainda que sejam dados pessoais não sensíveis, deve ele obter o prévio e expresso consentimento do titular, com base na autonomia da vontade, pois não há autorização legal para que o gestor de banco de dados disponibilize tais dados aos consulentes.
Abertura do cadastro pelo gestor de banco de dados.
Em relação à abertura do cadastro pelo gestor de banco de dados, embora não seja exigido o consentimento prévio, é necessária a comunicação ao cadastrado, inclusive quanto aos demais agentes de tratamento, podendo exigir o cancelamento do seu cadastro a qualquer momento, nos termos do art. 4º, I e § 4º, da Lei n. 12.414/2011, além de exercer os demais direitos previstos em lei quanto aos seus dados.
A inobservância dos deveres associados ao tratamento dos dados do titular gera dano moral.
A inobservância dos deveres associados ao tratamento (que inclui a coleta, o armazenamento e a transferência a terceiros) dos dados do titular – dentre os quais se inclui o dever de informar – faz nascer para este a pretensão de indenização pelos danos causados e a de fazer cessar, imediatamente, a ofensa aos direitos da personalidade.
O ato do gestor de banco de dados que compartilha informações cadastrais com terceiros consulentes gera dano moral in re ipsa.
A disponibilização indevida de dados pessoais pelos bancos de dados para terceiros caracteriza dano moral presumido (in re ipsa) ao cadastrado titular dos dados, diante, sobretudo, da forte sensação de insegurança por ele experimentada.
Dessa forma, o gestor de banco de dados que disponibiliza para terceiros consulentes o acesso aos dados do cadastrado que somente poderiam ser compartilhados entre bancos de dados – como as informações cadastrais – deve responder objetivamente pelos danos morais causados ao cadastrado, em observância aos artigos 16 da Lei n. 12.414/2011 e 42 e 43, II, da LGPD.
STJ. REsp 2.133.261-SP, Rel. Ministra Nancy Andrighi, Terceira Turma, por unanimidade, julgado em 8/10/2024, DJe 10/10/2024 (info 833).
